38 replies to this topic

[Samuel MONTAGNE]

Bonjour.

J'ai un problème hallucinant : je n'arrive pas
à créer un produit contenant le mot 'cascade'
dans le champ 'Nom'.

Si j'enlève de 'E' de cascade, ça passe, si je
le remets, ça passe plus !!!!

Le message d'erreur est :
1. une erreur s'est produite pendant la mise à jour product

Suis je devenu fou ? (ma mère vous répondrez
sans doute oui d'office :D )

[Philippe Sang]

Bonjour,

Oui cela est bug connu, qui malheureusement ne sera pas corrigé tout de suite.
Cela vient du fait que le mot cascade se trouve dans notre "black-list" de mots malveillants pour MySQL (comme reunion par exemple).

Nous réfléchissons pour contourner ce problème.

[Samuel MONTAGNE]

Peux ton supprimer ce mot de la black liste ?

Même juste le temps de créer l'article ?

[Samuel MONTAGNE]

J'ai trouvé : fichier Db.php, dossier classes ligne 49 !

[Philippe]

Après le mot Réunion, voici un autre mot qui pose problème : Trigger

Lorsqu'il fait partie du nom du produit, il devient impossible de valider la fiche produit dans le back-office.

Le message suivant apparait : "Une erreur s'est produite pendant la mise à jour de product".

[Philippe Sang]

Pour info, voici la liste des mots interdits :

private static $_blacklist = 'UNION|LOAD_FILE|OUTFILE|DUMPFILE|ESCAPED|TERMINATED|CASCADE|INFILE|X509|TRIGGER|REVOKE';

Si vous êtes confronté à ce problème et que vous aimeriez vraiment utiliser un de ces mots, vous pouvez éditer le fichier classes/Db.php (l. 49).

(à vos risques et périls)

[businesswoman]

Quote

Pour info, voici la liste des mots interdits :

private static $_blacklist = 'UNION|LOAD_FILE|OUTFILE|DUMPFILE|ESCAPED|TERMINATED|CASCADE|INFILE|X509|TRIGGER|REVOKE';

Si vous êtes confronté à ce problème et que vous aimeriez vraiment utiliser un de ces mots, vous pouvez éditer le fichier classes/Db.php (l. 49).

(à vos risques et périls)

J'ai recherché le mot ' ; trigger' ; dans le thesaurus - voici quelques suggestions pour des mots alternatifs : nom Quelque chose qui incite particulièrement une réponse violente : aiguillon, incitation, incitation, instigation, provocation, stimulus. Voir la cause verbe Pour être la cause de : apportez, provoquez, apportez dessus, cause, effet, effectuez, produisez-vous, induisez, ingenerate, menez à, faites, occasionnez, résultez dedans, bloqué, placez au loin, le stir 1 (vers le haut), touchez au loin. Idiomes : apportez pour passer (ou effet), provoquez. Voir le début Pour remuer à l'action ou au sentiment : egg dessus, excitez, fomentez, galvanisez, aiguillonnez, poussez, incitez, enflammez, inspirez, incitez, motivez, déplacez-vous, piqué, piqûre, aiguillon, message de sollicitation, propulsez, provoquez, ensemble au loin, dent, stimulez, touchez au loin, travail vers le haut. Voir la cause, l'excitez

[gripeux]

Et pourquoi une black list ? je ne comprends pas.

[Philippe Sang]

Ce sont des mots dangereux pour les requêtes SQL, sécurité oblige.

[ladykyller]

Bonjour je viens d'avoir le même problème ce qui me cause un bug au niveau des produits sur le site, cela m'affiche qu'il y a un produit avec la quantité le tarif sans image et sans descriptif, impossible de le retrouver dans le panneau d'administration, que se soit en y rentrant la référence ou le nom du produit que puis-je faire?

Merci

[SotEW]

Pour le produit invisible, il me semble qu'il faut aller supprimer manuellement les produits 'vides' dans la base de donnée.

pour ce qui est des mots en black-list, la solution que j'ai trouvé pour les utiliser dans une DESCRIPTION sans les retirer du fichier DB.php, c'est de couper la séquence de caractères avec des balises html invisible ensuite (donc, en éditant la description en mode 'source html'):
exemple pour union :

union

voila, sans supprimer de mots en black-list => pas de faille de sécurité ;)


je n'ai pas encore trouvé d'astuces pour les titres/nom de pays. Peut-être créer l'objet et ensuite modifier le nom dans la base de donnée ??

[Jean-Bruno]

Bonjour,
J'ai le fameux message

1 erreur 1. une erreur s'est produite pendant la création de l'objet

lors de la duplication d'un objet et je ne trouve aucun mot interdit (de plus le produit a déjà été déjà créé).
J'ai pensé au droit du dossier image mais ça ne marche pas mieux
Une idée ?

[Jean-Bruno]

Bonjour à tous
Toujours pas d'idée ?

[jdam]

Bonsoir
je voudrais répondre à SotEW et lui tirer mon chapeau. En effet, moi aussi j'ai été bloquer dans la création d'un nouveau pays, en l'occurence La Réunion, mais ça ne passait pas, j'ai essayé La Réu-nion comme un autre le préciser et ça passe mais un peu bizarre. Donc j'ai modifié le fichier Db.php selon SotEW avec 'UNION et ça marche nickel, bravo. Faillait trouver!!!!!! Quoi qu'en fouillant dans le forum on a toujours réponses à tout, mais faut suer un peu pour cela.
Bonne soirée

[Patric Codron]

From 1233941784:

Bonsoir
je voudrais répondre à SotEW et lui tirer mon chapeau. En effet, moi aussi j'ai été bloquer dans la création d'un nouveau pays, en l'occurence La Réunion, mais ça ne passait pas, j'ai essayé La Réu-nion comme un autre le préciser et ça passe mais un peu bizarre. Donc j'ai modifié le fichier Db.php selon SotEW avec 'UNION et ça marche nickel, bravo. Faillait trouver!!!!!! Quoi qu'en fouillant dans le forum on a toujours réponses à tout, mais faut suer un peu pour cela.
Bonne soirée

Ce n'est pas du tout le conseil que donne SotEW. En faisant ce que tu as fait tu as créé un trou de sécurité car tu as modifié l'un des termes du fichier Db.php. C'est exactement comme si tu l'en avais supprimé...
Il faut donc remettre UNION tel qu'il était dans ce fichier.

SotEW ne recommande donc pas de modifier le fichier Db.php.
L'astuce de SotEW fonctionne uniquement si tu veux utiliser l'un des mots par exemple dans une description de produit.
Par contre j'ai bien peur que pour l'utiliser en tant que nom de pays, ça ne le fasse pas...

[jdam]

Ok Zendik
Je me disais aussi que je n'avais pas bien saisi l'astuce de SotEW. Ca ne change finalement rien de rectifier dans le Db.php, la faille est toujours là.
Donc pour nous à la Réunion pas de chance pour le e-commerce avec Prestashop. Il me reste donc 'La Réu-nion" ou ile-de-la-réu-nion", ca marche mais cela reste bizarre lors des inscriptions. Mais bon, c'est le seul petit problème que j'ai rencontré pour le moment avec Prestashop, qui m'a vraiment séduit pour un Open Source
Cordialement

[CMMC]

Il y a aussi les mots qui finissent par union comme communion (j'ai eu le cas en voulant mettre un metatag) qui génèrent un message d'erreur

[PShopExpert]

Par définition, aucun module ne doit modifier cette blacklist pour garantir la sécurité de la boutique. Par contre vous pouvez créer un second fichier Db.php que vous appelez DbRiskxxx.php avec une blacklist réduite et vous échangez les noms des fichiers par FTP avant de faire des modifications dans le backoffice puis lorsque vous avez terminé, vous ré-échanger les noms des fichiers (ne pas oublier !).
La boutique ne serait vulnérable que lors des quelques minutes pendant lesquelles vous modifiez la base de donnée (et uniquement lorsque vous savez que vous utilisez un mot interdit ce qui réduit considérablement le temps de vulnérabilité).
Je pense proposer un petit outil pour faciliter cette manipulation mais pas tout de suite.

[flipflip]

Salut, je viens de rencontrer le même problème avec le mot cascade. J'ai bien compris le pourquoi et je suis tout à fais d'accord pour que ça reste, il y a assez de synonymes en français pour contourner le problème. Au contraire il pourrait être intéressant de mettre un message d'avertissement plus clair sur la raison du blocage lors de la création d'un produit. Je pense notamment pour les clients non informaticiens.

[ludo]

ça serait pas plus simple de filtrer ces maudits mot uniquement dans les formulaires (recherche surtout) dans le frontoffice ?

Pour le backoffice, mince on est chez nous.. on va pas se pourrir notre propre site, alors franchement de ce coté la barrière cette interdiction perd tout son sens voir pire... elle handicape la bonne gestion du site. Exemple : vous pouvez pas indiquer le mot "Union européenne" dans le CMS... super pratique éditer ses CGV !

Pour l'instant, heureusement que SotEW a des gènes de Vick le Viking et nous a trouvé une jolie p'tite astuce.

A prendre en compte dans la v1.2 !
J'imagine aussi l'enfer que doivent vivre nos copains anglophones !!!
* UNION
* CASCADE
* ESCAPED
* TERMINATED
* TRIGGER
* REVOKE

Pour cela, ça doit pas gêner grand monde...
* X509
* LOAD_FILE
* OUTFILE
* DUMPFILE
* INFILE